↑ 티몬·위메프 판매대금 정산 지연 사태가 이어진 지난 26일 서울 강남구 티몬 신사옥에 찢겨진 티몬 캐릭터가 놓여 있다. / 사진 = 연합뉴스 |
티몬과 위메프, 이른바 '티메프' 사태로 개인정보 유출 우려에 대한 목소리가 커지고 있습니다.
금융감독원은 티몬·위메프의 미지급 정산 금액을 약 1700억 원 수준으로 판단하고 있는데, 일각에선 '티메프 파산 시나리오'까지 나오고 있기 때문입니다.
두 회사 모두 누적된 적자로 자금을 동원할 여력이 없다는 게 업계의 의견입니다.
그러자 티몬과 위메프 이용자들은 "파산할 경우 내 개인정보는 어찌 되는 거냐"며 불안감을 표출했는데요,
실제로 최근 일주일 동안 X(옛 트위터)를 중심으로 티몬·위메프 회원 탈퇴 방법을 문의하는 글이 다수 올라오는가 하면, 웹사이트 회원 탈퇴 처리를 대행해주는 개인정보 포털에 이용자가 몰려 접속 대기가 떴다는 인증 글도 나왔습니다.
위메프는 개인정보 처리방침에서 로그인 이력과 대금결제, 국세 증빙자료 등의 회원 정보는 3개월에서 10년까지 보유하고 이용한다고 공지했으며 티몬도 개인정보 처리방침을 통해 웹사이트 방문기록과 대금결제 등의 고객 정보를 3개월에서 5년까지 보유한다고 밝힌 바 있습니다.
기업은 파산하거나 파산 절차를 밟는 경우 개인정보 보호나 처리 의무가 있을까요.
현행 개인정보보호법에는 없습니다.
개인정보보호법에 따르면 기업이 인수 합병으로 인해 개인정보를 다른 곳에 이전해야 할 경우 정보주체에게 해당 사실을 알려야 하고, 이로 인해 개인정보를 넘겨 받은 경우 이전 당시 본래 목적으로만 개인정보를 이용하거나 제 3자에게 제공할 수 있다고 명시하고 있는데요,
기업의 파산 상황에서 개인정보가 채권자에게 넘어가는 것 인지에 대한 명확한 규정은 없는 겁니다.
반면 챗GPT-4o는 "전 세계적으로 가장 엄격한 개인정보 보호 규제로 평가 받는 유럽연합의 GDPR(General Data Protection Regulation)에 따르면 새 소유자가 데이터를 마케팅 목적으로 사용하기 위해선 GDPR의 동의 요건을 준수해야 한다"며 "며 "파산 절차 중 개인 데이터 처리에 대한 정보를 데이터 주체에게 명확하게 제공해야 한다"고 강조했습니다.
이어 "GDPR 하에서는 파산 기업이 개인정보를 판매하거나 이전할 때 더 엄격한 규제가 적용된다"며 "데이터 주체의 동의를 얻거나, 법적 근거를 확보해야 하며, 데이터의 새로운 사용 목적이 기존의 목적과 합치되지 않는 경우 불법적인 처리로 간주될 수 있다"고 전했습니다.
그러면서 미국 최대 장난감 체인 '토이저러스'의 파산 신청 사례를 들기도 했습니다.
미국 현지 매장만 870개에 달했던 토이저러스는 아마존, 월마트 등의 저가 공세를 이겨내지 못하고 지난 2017년 파산보호 신청을 했습니다.
이후 자산 매각 절차를 진행하면서 고객 데이터베이스, 즉 개인정보 매각도 논의됐습니다. 고객 개인정보가 자산으로 간주되면서 이를 판매하려는 시도가 있었던 건데, 토이저러스가 고객 정보를 수집할 때 제 3자에게 판매할 수 있다는 명시적인 동의를 받지 않았다는 점에서 문제가 제기됐습니다.
챗GPT는 "고객 데이터의 판매가 원래의 수집 목적과 일치하지 않는다는 문제가 제기된 것"이라며 "미국 연방거래위원회(FTC)가 개입해 개인정보 보호를 위한 조치를 요구했다"고 설명했습니다.
FTC는 토이저러스의 고객 데이터가 새로운 소유자에 의해 마케팅 목적으로 사용되지 않도록 했고, 데이터 사용을 엄격히 제한할 것도 요구했습니다. 이에 따라 제한된 조건에서 데이터가 매각됐고, 새로운 소유자는 데이터를 사용하는 방법에 고객에게 명확하게 알리고 동의를 얻어야 했습니다.
한편, 개인정보위원회는 참고자료를 통해 "티몬·위메프의 개인정보 관리를 위탁 받아 담당 중인 큐텐테크놀로지의 CPO(개인정보 보호책임자)와 소통하며, 개인정보 처리 실태를 선제적으로 확인했다"며 "정산·환불 이슈 발생 시부터 현재까지 개인정보 처리 관련 문제점은 확인된 바 없다"고 밝혔습니다.
[윤혜주 디지털뉴스 기자 heyjude@mbn.co.kr]